kleinprofi
Goto Top

RDP Port für mehrere Rechner in der FritzBox öffnen?

Hallo,
wir planen bei uns Homeoffice einzuführen, doch kann man in der FritzBox den RDP-Port 3389 für mehrere Rechner öffnen? Was ich hier nicht verstehe, wie sollen dann die URL für die Remotedestop Verbindung lauten, sie muss ja dann für jeden Rechner anderes sein?

Danke!

Content-Key: 557104

Url: https://administrator.de/contentid/557104

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: itisnapanto
itisnapanto 12.03.2020 um 08:37:46 Uhr
Goto Top
Moin ,

lass die Finger davon und nehme die VPN Funktion der Fritte !!!

Gruss
Mitglied: Inf1d3l
Inf1d3l 12.03.2020 um 08:38:15 Uhr
Goto Top
Das würde ich lassen. Wenn schon, dann: https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...

Oder besser, lass dich von einem Systemhaus beraten.
Mitglied: KleinProfi
KleinProfi 12.03.2020 um 08:41:01 Uhr
Goto Top
Danke für die Tipps, ich denke mal nach. Aber ich würde trotzdem wissen wie es bei meiner Frage ist?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.03.2020 um 08:50:10 Uhr
Goto Top
Zitat von @KleinProfi:

Hallo,
wir planen bei uns Homeoffice einzuführen, doch kann man in der FritzBox den RDP-Port 3389 für mehrere Rechner öffnen?

nein für ip-v4
ja für ip-v6

Was ich hier nicht verstehe, wie sollen dann die URL für die Remotedestop Verbindung lauten, sie muss ja dann für jeden Rechner anderes sein?

Du kannst natürlich bei v4 mehrere verschiedene Ports auf jeweils den Port 3389 der jeweiligen Maschine weiterleiten, z.B Port 53389 aux pc1, 53390 auf pc2, 53391 auf pc3, etc. Dann mußt Du bei der RDp-verbindung dich nur auf den jeweligen Port verbinden um auf die Maschine zu kommen.

Aber! (ganz groß und dick!)

Man gibt nie RDP-Zugng direkt aus dem Internet frei, sondern nutzt lieber die Möglichkeiten des in der Fritte eingebauten VPN. dann kannst Du dich ohne große Probleme zu dem jeweiligen System verbinden, ohne daß Du Sicherheitsprobleme bekommst.

lks
Mitglied: aqui
aqui 12.03.2020 aktualisiert um 08:53:38 Uhr
Goto Top
Du öffnest den Port ja nicht für spezifische Rechner sondern du öffnest generell den Port TCP 3389 dann an der NAT Firewall. Das bedeutet jeder Rechner kann von außen zugreifen.
Was du vermutlich meinst ist den Poret dann auf mehrere lokale Hosts im internen netz weiterleiten, richtig ?
Die Antwort dazu lautet: NEIN !
Wie sollte das denn auch gehen, denn pro Port kannst du ja logischerweise nur eine einzige Weiterleitung konfigurieren. Wie sollte denn der Router am eingehenden TCP Paket erkennen ob diese Daten nun stat xyz zu abc lokal gehen sollen ? Das ist technisch unmöglich und leuchtet auch sofort ein wenn man nur mal ein klein wenig über den Aufbau und Flow von Layer 3 IP Paketen nachdenkt !

Generell ist das, wie oben ja schon mehrfach gesagt, eine sehr schlechte Idee so ein Loch in eine Firewall zu bohren und völlig ungeschützten Internet Traffic in sein lokales Netz zu leiten. Und das auch noch mit so einem typischen Port wie RDP den Angreifer so oder so im Sekundentakt an Routerports scannen.
Mal ganz abgesehen davon das RDP Daten dann vollkommen ungeschützt über das Internet übertragen werden.
Solchen fahrlässigen Unsinn machten heute nichtmal mehr blutige Laien. Schon gar nicht wenn man eine FritzBox mit VPN Funktion sein eigen nennt.
Fazit:
Wenn dir deine Datensicherheit und Datenschutz etwas wert ist nutzt du wie auch jeder Klein Profi immer ein VPN. Das ohne VPN zu machen ist in den meisten Firmen ein gravierender Verstoß gegen deren Datenschutz und resultiert in den meisten Fällen in einer arbeitsrechtlichen Abmahnung !
Mitglied: KleinProfi
KleinProfi 12.03.2020 um 09:02:10 Uhr
Goto Top
Ok... ist aber die RDP Verbindung etwa nicht geschützt, auch wenn dem Microsoft Zertifikat nicht vertraut wird?
Mitglied: itisnapanto
itisnapanto 12.03.2020 um 09:06:15 Uhr
Goto Top
Zitat von @KleinProfi:

Ok... ist aber die RDP Verbindung etwa nicht geschützt, auch wenn dem Microsoft Zertifikat nicht vertraut wird?

Nein es ist nicht sicher . Daher die mehrfache Empfehlung, das mit VPN zu machen. Geht mit der Fritte auch total einfach und kostet nichts.
Anleitungen dazu gibt es direkt bei AVM.

Gruss
Mitglied: KleinProfi
KleinProfi 12.03.2020 um 09:07:51 Uhr
Goto Top
Ok, hab's kapiert. Aber dann müssen wohl unsere 3 Mitarbeiter ihre PCs mit nach Hause nehmen. Aber wie bauen sie die VPN-Verbindung auf, wenn die PCs in einer Domäne sind?
Mitglied: fredmy
fredmy 12.03.2020 um 09:08:42 Uhr
Goto Top
Hallo,
am einfachsten finde ich immer noch einen Raspi (o.ä.) als openVPN-Server zu betreiben (hinter der Fritte) und dann (RDP) Connections über den Tunnel aufzubauen, auch wenn der openVPN-Einrichtungsaufwand höher zu sein scheint.
Du hast es dann aber nur noch mit einem Port zu tun (typisch UDP aber auch TCP mußten wir manchmal verwenden)

openVPn mit Zertifikaten heißt auch du kannst Zertifikate sperren, bei der Fritten-IPSec Lösung kriegst du ein Problem, wenn einer kündigt (oder so)..alle den gleiche Passwort-Zugang face-smile

Fred
Mitglied: KleinProfi
KleinProfi 12.03.2020 aktualisiert um 09:17:19 Uhr
Goto Top
Meine Frage war also, wie meldet man sich in der Firmen-Domäne an, wenn die VPN Verbindung noch nicht aufgebaut ist? Wie baue ich die Verbindung vor der Anmeldung in der Domäne auf?
Mitglied: itisnapanto
itisnapanto 12.03.2020 um 09:15:28 Uhr
Goto Top
Zitat von @fredmy:

Hallo,

Hi

am einfachsten finde ich immer noch einen Raspi (o.ä.) als openVPN-Server zu betreiben (hinter der Fritte) und dann (RDP) Connections über den Tunnel aufzubauen, auch wenn der openVPN-Einrichtungsaufwand höher zu sein scheint.
Du hast es dann aber nur noch mit einem Port zu tun (typisch UDP aber auch TCP mußten wir manchmal verwenden)

einfacher ist es über die Fritte in dem Fall

openVPn mit Zertifikaten heißt auch du kannst Zertifikate sperren, bei der Fritten-IPSec Lösung kriegst du ein Problem, wenn einer kündigt (oder so)..alle den gleiche Passwort-Zugang face-smile

Nein du kannst Zugänge für jeden User anlegen und auch entsprechend sperren.


Fred

Gruss
Mitglied: radiogugu
radiogugu 12.03.2020 um 10:28:13 Uhr
Goto Top
Zitat von @KleinProfi:

Meine Frage war also, wie meldet man sich in der Firmen-Domäne an, wenn die VPN Verbindung noch nicht aufgebaut ist? Wie baue ich die Verbindung vor der Anmeldung in der Domäne auf?

Hallo.

Findet der PC keinen Domain-Controller, wird ein lokales Profil angemeldet.

Die Anmeldung dauert ein bisschen länger (anstatt ca. 10 Sek., dann eben 20 Sek.).

VPN Verbindung aufbauen und ggfs. ein kleines Logon Script laufen lassen, welches dann Netzlaufwerke etc. verbindet.

Gruß
Radiogugu
Mitglied: ArnoNymous
ArnoNymous 12.03.2020 um 10:41:14 Uhr
Goto Top
Moin,


wir planen bei uns Homeoffice einzuführen, doch kann man in der FritzBox den RDP-Port 3389 für mehrere Rechner öffnen?


Nein, das geht nicht so nicht. Du kannst den PCs aber theoretisch über die Registry einen anderen RDP-Port als 3389 zuweisen und diesen dann freigeben.
Aber nein, sowas macht man wirklich nicht. Das ist so, als würdest du einen Firmen-PC einfach frei auf die Straße stellen und jeder, der vorbei kommt, kann mal ein paar Anmeldedaten ausprobieren.

Gruß
Mitglied: tomolpi
tomolpi 12.03.2020 um 11:03:22 Uhr
Goto Top
Zitat von @KleinProfi:

Meine Frage war also, wie meldet man sich in der Firmen-Domäne an, wenn die VPN Verbindung noch nicht aufgebaut ist? Wie baue ich die Verbindung vor der Anmeldung in der Domäne auf?
Bei uns habe ich "Always on VPN" konfiguriert. Klappt super.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.03.2020 um 11:05:29 Uhr
Goto Top
Zitat von @KleinProfi:

Meine Frage war also, wie meldet man sich in der Firmen-Domäne an, wenn die VPN Verbindung noch nicht aufgebaut ist? Wie baue ich die Verbindung vor der Anmeldung in der Domäne auf?

Üblicherweise kann man konfigurieren, ob das VPN schon vor der Anmeldung aufgebaut wird oder nicht, bzw. ob man sich über VPN anmeldet.

lks
Mitglied: Kraemer
Kraemer 12.03.2020 um 15:57:39 Uhr
Goto Top
Zitat von @KleinProfi:

Ok, hab's kapiert. Aber dann müssen wohl unsere 3 Mitarbeiter ihre PCs mit nach Hause nehmen.

warum das denn jetzt? Was ist aus der RDP-Idee geworden?
Mitglied: aqui
aqui 12.03.2020 um 18:01:02 Uhr
Goto Top
Doch nicht kapiert...!!
Mitglied: KleinProfi
KleinProfi 16.03.2020 um 09:57:44 Uhr
Goto Top
Läuft alles wie geschmiert, vielen Dank!